Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pacote não oficial E2guardian v5 para software pfsense®

    Scheduled Pinned Locked Moved Portuguese
    1.0k Posts 156 Posters 1.4m Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gui.ap
      last edited by

      @marcelloc:

      @gui.ap:

      Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.

      O problema é que o site do google e uol por exemplo apresentam erro.

      Seguem os prints da configuração e do erro.

      Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.

      Desativa a interceptação de ssl do squid e deixa o e2guardian na frente.

      Na aba daemon do e2g, configure ele no lugar de direct connect para remote proxy, preenchendo ip e porta da lan do squid.
      no squid, remova as configurações de parent que colocou .

      Obrigado pelo retorno marcelloc, fiz conforme suas orientações, agora se acesso um site sem ssl da acesso negado, e quando tentar acessar o google por exemplo, demora muito e quando carrega diz que tenho que fazer autenticação, porém eu já fiz no captive portal.

      Segume os prints do erro e das configurações após as alterações

      1.PNG
      1.PNG_thumb
      2.PNG
      2.PNG_thumb
      3.PNG
      3.PNG_thumb
      4.PNG
      4.PNG_thumb
      5.PNG
      5.PNG_thumb
      6.PNG
      6.PNG_thumb
      7.PNG
      7.PNG_thumb
      8.PNG
      8.PNG_thumb
      9.PNG
      9.PNG_thumb
      10.PNG
      10.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        O squid ainda está com Proxy transparente habilitado.

        Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.

        Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          gui.ap
          last edited by

          @marcelloc:

          O squid ainda está com Proxy transparente habilitado.

          Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.

          Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for

          Primeiro vou tentar fazer funcionar sem autenticar por usuario, com um filtro padrao do e2guardian, depois vejo a parte de integração com o cp.

          Eu desabilitei o a opção de proxy transparente do squid, e voltou o do jeito que estava no começo, sites sem ssl abrem normalmente, e alguns sites com ssl apresentam erro, como o google e uol.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Deixa só o e2guardian ativo(lan e loopback + transparente na lan), lembrando de deixar ele no modo direct connect. Salva e aplica.

            Monitora pelos logs se o tráfego está indo pra ele mesmo e começa a evoluir a configuração (acls, grupos, etc).

            A autenticação por ip é bem eficiente para entender e ajustar os grupos antes de ir para configurações mais complexas.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              gui.ap
              last edited by

              Fala marcelo, acho que descobri o problema, no inicio  das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.

              Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @gui.ap:

                Fala marcelo, acho que descobri o problema, no inicio  das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.

                Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.

                A interceptação ocorre com a definição da na aba daemon e nas opções do grupo.
                Se no grupo não estiver habilitado a interceptação, ele vai filtrar baseado no certificado do site, sem fazer o MITM, semelhante ao spliceall do squid.

                e2g_MITM.PNG
                e2g_MITM.PNG_thumb

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • G
                  gui.ap
                  last edited by

                  Eu sei, já deu certo aqui, instalei o certificado antigo do freeradius. Tem um bug ai, uma vez que vc seleciona um certificado no e2guardian, e depois muda para outro, ele não esta alterando nas configs.

                  Testa ai pra vc ver, por isso eu estava com erros de certificado.

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    O Pacote faz cache dos certificados gerados, ele deve estar entregando um certificado já gerado.

                    Vou colocar na lista de 'coisas a verificar'.

                    Valeu pelo feedback.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • G
                      gui.ap
                      last edited by

                      Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        @gui.ap:

                        Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?

                        olhando rapidamente o código, acredito que fica aqui

                        /usr/local/etc/e2guardian/ssl/generatedcerts

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • G
                          gui.ap
                          last edited by

                          O serviço sobe normalmente, o que acontece, é que no inicio usei um certificado, depois criei outro, e ao mudar o certificado no e2guardian, aparentemente ele não esta mudando nas configs, somente na tela do browser, por isso queria confirmar nas configs.

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by

                            Ja troquei o certificado algumas vezes. Talvez precise só remover os certificados gerados, parar o serviço, subir novamente ou coisas do tipo.

                            De qualquer forma vou conferir a rotina quando o certificado é trocado. Talvez forçar a exclusão do cache de certifidos seja a melhor opção.

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • G
                              gui.ap
                              last edited by

                              Apaguei o certificado antigo em Cert Manager, parei o serviço do e2guardian, e iniciei, deu certo, pegou o novo.

                              1 Reply Last reply Reply Quote 0
                              • G
                                gui.ap
                                last edited by

                                Marcelloc agora coloquei o squid na frente e voltou a dar erro de certificado no browser, ai olhando no browser esta com o  certificado do freeradius, porém eu já exclui esse certificado, no squid e no e2guardian estão com o certificado novo.

                                Capturar.PNG
                                Capturar.PNG_thumb

                                1 Reply Last reply Reply Quote 0
                                • MRamonM
                                  MRamon
                                  last edited by

                                  :'( Não sei oque houve estava tudo correndo bem mas meu e2guardian agora esta bloqueando todo o trafego https se eu deixar marcada a opção filter ssl sites forging ssl certficates (off) pra funcionar tenho que deixar isso desmarcado nos grupos o que que faz com que a tela de bloquei desapareça ficando apenas uma tela de erro de carregamento de pagina, fazendo com que o e2guardian funcione como o squidguard no modo splice all, o que sera que houve? :'( :'( :'(

                                  Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o  trafego https só e liberado nas estações que tem instalado a CA

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    @MRamon:

                                    Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o  trafego https só e liberado nas estações que tem instalado a CA

                                    É exatamente assim que tem que funcionar. A página de erro só aparece quando o trafego é de fato interceptado.

                                    Quando o filtro ssl está habilitado mas a interceptação não, o teste é feito no certificado e caso seja negado, o proxy só pode fazer isso recusando a conexão.

                                    Resumindo a configuração:

                                    Em redes wifi, hotspot e etc, onde você não tem o controle das estações, modo verificação de certificado(splice_all) e mensagem de conexão recusada para ssl
                                    Em redes coorporativas onde podemos instalar a CA nas estações, habilitamos a interceptação e temos pagina de bloqueio formatada para sites https bloqueados.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      @MRamon:

                                      Mas o que esta acontecendo e que quem não tem a CA intalada não esta acessando sites https, nenhum site https nem a pesquisa do google, para que estes dispositivos naveguem em sites https tenho que deixar desmarcada a opção filter ssl sites forging ssl certficates (off)

                                      Interceptando sem instalar o certificado, você via receber todo tipo de erro do navegador, mas pra ter certeza que o trafego está chegando no e2guardian, monitora via tcpdump a comunicação entre a estação e ele.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • MRamonM
                                        MRamon
                                        last edited by

                                        Me desculpa não estou compreendendo, antes eu estava usando desta forma

                                        Estava funcionando perfeitamente quem tinha CA via a pagina de bloqueio, que não tinha dava erro na pagina que estava bloqueada
                                        e as outras paginas que estavam liberadas acessava-se normalmente

                                        agora o que esta acontecendo e que estando dessa forma quem não tem CA não carrega mas nenhuma pagina https nem as que estão libeados ou seja todos os smartphones da minha rede não estão navegando a não ser que eu intale a CA neles todos. entendeu?

                                        Acho que é algum tipo de bug pois estava normal

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          @MRamon:

                                          agora o que esta acontecendo e que estando dessa forma quem não tem CA não carrega mas nenhuma pagina https nem as que estão libeados ou seja todos os smartphones da minha rede não estão navegando a não ser que eu intale a CA neles todos. entendeu?

                                          Monitora com o tcpdump e nos logs pra ver se o trafego está chegando no e2guardian, mesmo com inteceptação habilitada em uma rede onde os dispositivos não tem a CA instalada.

                                          Dá pra rodar o e2guardian em modo foreground, onde aparece alguns debugs /usr/local/sbin/e2guardian -QN

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • empbillyE
                                            empbilly
                                            last edited by

                                            @marcelloc,

                                            Quais as principais diferenças entre a v4 e v5 do e2guardian em relação a um "parent" como o squid sendo o interceptador de conteúdo? Pergunto isso, pois após atualizar pra v5, de acordo com as configurações básicas que passei no meu tutorial, já não funciona mais.

                                            https://eliasmoraispereira.wordpress.com/

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.